Artículos

Cuestiones relativas a garantizar la seguridad de las redes inalámbricas corporativas.

Cuestiones relativas a garantizar la seguridad de las redes inalámbricas corporativas.

Problemas para garantizar la seguridad de las redes inalámbricas corporativas

Problemas de garantizar la seguridad de las redes inalámbricas corporativas

Maxim Filippov,
director de proyectos en Elvis-Plus OJSC

Fuente—

Este artículo es un intento de revisar el estado actual de la seguridad de las redes inalámbricas para responder a la pregunta: ¿es posible hoy construir una red inalámbrica corporativa que se adapte al propietario de la red desde el punto de vista de garantizar el nivel de seguridad requerido? ¿Y también de acuerdo con los requisitos de la legislación de la Federación de Rusia y los documentos que rigen en el campo de la seguridad de la información?

Las tecnologías de redes inalámbricas se utilizan ampliamente en todo el mundo y atraen la atención de los usuarios debido a sus costos económicos relativamente bajos y su facilidad de implementación, uso y arquitectura flexible. El líder indiscutible en el mercado de redes inalámbricas son los equipos que cumplen con las especificaciones de la familia de estándares 802.11. Por lo tanto, en el futuro, cuando utilicemos el término «redes inalámbricas», nos referiremos a redes construidas en equipos compatibles con los estándares de la familia 802.11.

Uno de los principales segmentos del mercado de equipos de redes inalámbricas es la solución para las llamadas redes “de oficina o corporativas”. Un rasgo característico de esta solución es la creación de un área de cobertura continua dentro del edificio de oficinas. Esta solución requiere a menudo la colocación de un número bastante grande de puntos de acceso. Y en este caso cobra relevancia la tarea de monitorizar y gestionar una red inalámbrica. En consecuencia, ya en la etapa de diseño es necesario incluir en la solución el uso de gestión y monitoreo centralizados del estado de la red, lo que en el futuro reducirá significativamente el costo total de propiedad del sistema (TCO). En el futuro, no volveremos a las cuestiones de TSO; este es un tema para un artículo separado y una discusión separada.

Otra cuestión importante a la hora de construir redes inalámbricas es, por supuesto, la cuestión de garantizar el nivel necesario de seguridad para la información que circula por la red. En primer lugar, la razón de la urgencia del problema está en el medio de transmisión de datos utilizado: la radiodifusión. A diferencia de las redes convencionales, en las que la información se transmite por cables, es mucho más fácil interceptar información por aire: basta con tener un conjunto de equipos similar al conjunto de equipos de un suscriptor de una red inalámbrica. Por lo tanto, la especificación del estándar 802.11 presta especial atención a las cuestiones de seguridad: se define el protocolo de seguridad de red inalámbrica WEP (Wired Equivalent Privacy).

Por supuesto, el problema de seguridad planteado en este artículo está lejos de ser trivial, pero tenemos que empezar por algún lado… Y para comenzar a resolver este problema, determinemos las medidas y medios que tenemos a nuestro alcance para hacer que la red inalámbrica sea lo mejor posible y más segura. Entonces, necesitamos:

  • Reducir el área de cobertura de radio (por supuesto, al mínimo aceptable). Idealmente, el área de cobertura de radio de la red no debería extenderse más allá del área controlada.
  • Cambiar la contraseña de administrador predeterminada
  • Habilitar el filtrado de direcciones MAC
  • Desactivar la transmisión del identificador de red (SSID)
  • Editar el identificador de red predeterminado (SSID) )
  • Cambie el identificador de red (SSID) periódicamente
  • Habilite funciones WEP
  • Cambie las claves WEP periódicamente
  • Instalar y configurar firewalls personales y programas antivirus para suscriptores de redes inalámbricas
  • Realizar ajustes de filtrado de tráfico adecuados en equipos de telecomunicaciones y firewalls
  • Garantizar la redundancia de los equipos incluidos en la red inalámbrica
  • Garantizar una copia de seguridad de las configuraciones de software y hardware
  • Realizar un monitoreo periódico del estado de seguridad de la red inalámbrica utilizando herramientas de análisis de seguridad especializadas para redes inalámbricas (consulte, por ejemplo, http://iss.net/, http://wildpackets/ o http://sniffer/).

Todos estos métodos de protección se pueden implementar hoy en día en equipos de casi cualquier fabricante presente en el mercado de redes inalámbricas 802.11 y que lleven el logo Wi-Fi1.

Nombremos el conjunto de las medidas de protección anteriores nivel «inicial», por debajo del cual no se puede bajar en absoluto al diseñar una red inalámbrica corporativa.

Digamos que se ha implementado todo el conjunto de medidas, pero, lamentablemente, dados los conocidos problemas técnicos y tecnológicos del protocolo WEP y, como consecuencia, el bajo nivel de complejidad de piratear dicha red, una red inalámbrica con un » El nivel de seguridad “inicial” se considera mejor como una red que está lejos de ser segura. Y, como resultado, los puntos de acceso de dicha red (incluso cuando se utiliza WEP) no deben estar conectados a la red cableada interna, sino que deben ubicarse en el exterior del firewall; Por lo tanto, no es posible procesar información confidencial en línea con el nivel inicial de seguridad descrito anteriormente.

Para remediar la situación, algunos fabricantes (por ejemplo, Agere Systems, D-Link, US Robotics), para mejorar el nivel básico de seguridad, ofrecen utilizar claves de cifrado del protocolo WEP2 más largas: 128, 152 o incluso 256 bits. Pero esto a menudo resulta en una falta de compatibilidad con equipos 802.11 de otros fabricantes. Además, desde el punto de vista del atacante, el tráfico del protocolo WEP es un conjunto de datos iniciales para resolver un problema de criptoanálisis como “abrir usando una clave seleccionada”3.

Y dado que el atacante conoce el algoritmo de cambio de clave definido por el protocolo WEP, dedicará varias horas a resolver este problema4. Después de lo cual se nos proporciona una conexión no autorizada a nuestra red inalámbrica. Además, reemplazar la dirección MAC de su tarjeta de acceso con la dirección MAC de la tarjeta de acceso de un usuario legítimo no será difícil para un atacante y será prácticamente imposible para nosotros detectar dicho ataque. Aumentar la longitud de la clave, incluso a 256 bits, solo aumenta la cantidad de paquetes que un atacante debe escuchar (por ejemplo, utilizando los rastreadores de paquetes AirMagnet o AiroPeek) y el tiempo necesario para que el atacante realice un criptoanálisis.

El cifrado de flujo RC4, que es la base del cifrado WEP y fue desarrollado por el estadounidense Ronald Rivest en 1987, se ha generalizado debido a su exitosa combinación de solidez criptográfica y alto rendimiento. Los criptógrafos llevan bastante tiempo estudiando las vulnerabilidades en la implementación del protocolo RC-4 en WEP5. Según muchos expertos, es necesario sustituir las herramientas criptográficas del protocolo WEP por otras más duraderas.

Así que la conciencia de los problemas del protocolo WEP no surgió ayer, por lo que hoy existen en el mercado soluciones para hacer más seguro el uso del protocolo WEP. Por ejemplo:

El uso de algunos protocolos del estándar 802.1x (que se analiza a continuación) nos permite resolver el problema del cambio dinámico de claves de cifrado para dispositivos inalámbricos.

El protocolo MIC (Message Integrity Check) le permite proteger los paquetes WEP para que no sean modificados o manipulados durante la transmisión.

TKIP (Protocolo de integridad de clave temporal), también diseñado para mejorar la situación de seguridad de WEP, utiliza una secuencia de claves única para cada dispositivo y también proporciona un esquema de claves dinámico cada 10.000 paquetes. Sin embargo, al igual que WEP, TKIP utiliza el algoritmo criptográfico RC4 para el cifrado. Tenga en cuenta que para utilizar el protocolo TKIP no es necesario abandonar su equipo 802.11 existente, solo necesita actualizar el software (por supuesto, si el fabricante ha implementado soporte para este protocolo).

Pasemos ahora a la cuestión de garantizar una interacción segura de la información entre los usuarios de la red inalámbrica y los recursos de la red corporativa. Para resolver este problema, necesitaremos implementar la autorización de los usuarios de la red inalámbrica (en el protocolo WEP, la verificación de autenticación del usuario no está implementada en absoluto), así como utilizar métodos de seguridad más sólidos que puedan garantizar el nivel requerido de confidencialidad e integridad de la información. . Uno de estos métodos esinstalación de un servidor de control de acceso utilizando protocolos del estándar EAP/802.1×6 (LEAP; PEAP; EAP-TLS; EAP-TTLS) con el fin de mejorar la autenticación de los suscriptores de la red inalámbrica.

Veamos este método con más detalle. El estándar 802.1x en nuestro caso define la interacción de un cliente de red inalámbrica con un servidor de acceso en la etapa de autorización del suscriptor en el sistema. El esquema de autorización de usuario en la red inalámbrica se muestra en la Figura 1.

 

 

Los servidores de acceso más populares en la actualidad son Cisco Secure Access Control Server y Internet Authentication Service (IAS). Este último está integrado en el sistema operativo Microsoft Windows 2000.

Sin entrar en detalles técnicos de la implementación de protocolos específicos del estándar 802.1x, cabe señalar los siguientes puntos importantes:

  • Este esquema requiere la instalación de software especializado en el lado del cliente, el llamado «suplicante». De forma predeterminada, el soporte para el mecanismo de autenticación 802.1x está integrado en el sistema operativo Windows XP y está disponible para su instalación como un paquete separado para el sistema operativo Windows 2000 (aparentemente, se incluirá en el Service Pack #4). El solicitante también puede recibir controladores para equipos de acceso a redes inalámbricas.
  • Varios protocolos 802.1x utilizan certificados digitales X.509 en su trabajo. Por tanto, el protocolo PEAP utiliza el certificado del servidor de acceso para verificar el usuario del servidor de acceso, y los protocolos EAP-TLS y EAP-TTLS utilizan certificados X.509 tanto del servidor de acceso como del cliente para la autorización mutua. Tenga en cuenta que es posible que el servidor de acceso interactúe con un almacenamiento externo de certificados digitales, por ejemplo, a través del protocolo LDAP.

    • Debido a que el estándar 802.1x es relativamente joven, hoy en día todavía se pueden encontrar momentos tan “desagradables” como:

    • implementaciones por parte de diferentes fabricantes de un mismo y mismo protocolo no son compatibles entre sí;
    • falta de solicitantes para algunos tipos de dispositivos cliente que acceden a la red inalámbrica.

    Pero a pesar de todos estos momentos desagradables, se puede afirmar que el conjunto de protocolos del estándar 802.1x implementado por varios fabricantes (LEAP; PEAP; EAP-TLS; EAP-TTLS) permite hoy seleccionar e implementar un método de autorización. que conviene al propietario de una red inalámbrica.

    Entendemos que puede haber diferentes categorías de usuarios (suscriptores) en nuestra red. Y es bastante natural que queramos otorgar a estas diferentes categorías de usuarios diferentes derechos para acceder a ciertos recursos. El ejemplo más simple se presenta en la Tabla 1.

    Suscriptores de redes inalámbricas Acceso a información confidencial Acceso a información pública (incluido Internet)
    Empleado + +
    Invitado
    Atacante

    Obviamente, después de la autenticación inalámbrica abonado de la red, deberá asignar una política de seguridad adecuada a su categoría. Una de las posibles implementaciones de este enfoque es:

    Utilizando tecnología definida por el estándar 802.1q y permitiendo ubicar a los suscriptores autorizados de redes inalámbricas en diferentes VLAN con una política de seguridad previamente definida para cada una de estas VLAN (dependiendo del tipo de suscriptor).

    Entonces, utilizando, además de los métodos del nivel básico de protección, medios de autenticación mejorada utilizando el protocolo 802.1x y medios para mejorar la seguridad del protocolo WEP, hoy es posible lograr un nivel aceptable de protección de la información. circulando en una red inalámbrica.

    Desafortunadamente, hoy en día un grupo bastante reducido de empresas puede ofrecer las soluciones anteriores. En primer lugar, son líderes del mercado de equipos para redes inalámbricas. Además, el pionero indiscutible en el mercado de soluciones para garantizar la seguridad de las redes inalámbricas es Cisco Systems.

    También observamos que la implementación de medidas de seguridad en los sistemas operativos populares puede «mejorar» significativamente el nivel de seguridad de las redes inalámbricas, aliviando en parte este «dolor de cabeza» para los fabricantes de equipos. Pero la cuestión de la compatibilidad de las implementaciones de protocolos específicos por parte de diferentes fabricantes sigue abierta.

    Intentemos mirar hacia el futuro para comprender qué cambios se deben esperar en el campo de la seguridad de las redes inalámbricas en un futuro próximo. Aquí hay dos puntos principales que deberían poner un punto en lugar de un signo de interrogación en la pregunta “¿Es seguro usar redes inalámbricas?”:

    • WEP debería ser sustituido por el estándar 802.11i a finales de 2003, que combinará sistemas de autenticación mejorada, cambio dinámico de claves, gestión de claves, autenticación de paquetes, etc. En lugar del cifrado WEP, se prevé utilizar AES (Estándar de cifrado avanzado: protocolo criptográfico Rijndael). Sin embargo, esto, a su vez, requerirá el desarrollo de conjuntos de chips básicos nuevos y más caros, lo que significa costos adicionales para los usuarios para actualizar el equipo;
    • La situación con la compatibilidad de soluciones de diferentes fabricantes en el campo de la seguridad de redes inalámbricas mejorará significativamente. Así, la organización WECA ya ha publicado la especificación Wi-Fi Protected Access (WPA), diseñada para aclarar la cuestión de la compatibilidad de las soluciones de seguridad de diferentes fabricantes y definir el uso del protocolo TKIP y los protocolos de autenticación 802.1x. La certificación de equipos para el cumplimiento de la especificación Wi-Fi Protected Access comenzará en el primer trimestre de 2003, y cuando se apruebe el estándar 802.1i, se lanzará una nueva versión de esta especificación: Wi-Fi Protected Access 2, que certificará la conformidad de soluciones de diversos fabricantes con el estándar 802.1i y su interoperabilidad.

    Ahora recordemos que vivimos en Rusia, lo que significa que toda la revisión de la arquitectura de seguridad para redes inalámbricas no estará completa si no nos detenemos específicamente en los detalles rusos del uso de herramientas de seguridad de la información y herramientas de protección de información criptográfica. ¿Qué requisitos impone la legislación a los usuarios de estas tecnologías en Rusia?

    Cabe señalar que últimamente en Rusia se ha hecho mucho en el ámbito de la seguridad de la información. Han aparecido documentos normativos y orientativos pertinentes que regulan el proceso de protección. Las empresas consultoras realizan auditorías de seguridad de las redes corporativas. Se han formado organismos de certificación de sistemas de información. Las compañías de seguros ofrecen servicios de seguros de riesgos de información. Pero, lamentablemente, tenemos que admitir que todos estos servicios novedosos aún no han ganado popularidad en el mercado ruso. Es posible que todos estos procesos finalmente creen precedentes para una responsabilidad legal real por la divulgación de información confidencial, así como la responsabilidad de las organizaciones que diseñan e implementan SOBI (sistema de seguridad de la información), emitiendo conclusiones (certificados de conformidad) sobre el cumplimiento de el SOBI construido con los requisitos de los documentos rectores.

    Pero volvamos a nuestro tema. Como se mencionó anteriormente, una de las tecnologías básicas para proteger la información en redes inalámbricas es la criptografía. Hoy en Rusia, para proteger la información confidencial, LEGITIMAMENTE podemos utilizar solo herramientas de protección de información criptográfica certificadas por FAPSI. Precisamente por PROTECCIÓN. No tiene sentido esperar que la posición de Rusia sobre la cuestión del uso de criptografía “extranjera” en su territorio cambie; cualquier estado tiene derecho a determinar cómo usar la criptografía; Por otro lado, nadie ha levantado las restricciones a la exportación de criptografía «fuerte» desde Estados Unidos. No menos ilusorias son las esperanzas de que algún día veamos la implementación del criptoalgoritmo ruso en equipos de fabricantes extranjeros.

    La solución óptima a estos problemas se ve en el uso de tecnología de red virtual privada (VPN) segura:

    Implementación de tecnología VPN para garantizar la confidencialidad e integridad de la información que circula en una red inalámbrica de acuerdo con los requisitos de la legislación rusa y los documentos rectores de FAPSI y la Comisión Técnica Estatal.

    Los fabricantes de equipos, al construir redes inalámbricas con el máximo nivel de seguridad, recomiendan utilizar soluciones VPN basadas en la familia de protocolos IPSec: por ejemplo, las soluciones VPN de los fabricantes rusos encajan orgánicamente en la arquitectura SAFE — la arquitectura de redes seguras construidas sobre equipos de Cisco Systems.

    Existe otro argumento a favor del uso de la tecnología VPN para proteger la información que circula en una red inalámbrica. Al crear una capa protectora externa basada en productos VPN, el propietario gana la confianza de que está protegido no solo de las vulnerabilidades conocidas de los protocolos de seguridad de red inalámbricos integrados, sino también de aquellas que puedan aparecer en el futuro. Y lo más importante, el uso de una solución VPN basada en el protocolo IPSec de fabricantes rusos permite legitimar todo el sistema de protección, ya que es posible utilizar productos certificados por FAPSI y la Comisión Técnica Estatal de Rusia.

    A pesar de que la propia tecnología de redes virtuales privadas seguras es capaz de proporcionar una autorización estricta al usuario utilizando su certificado digital X.509, no debe considerarse como una alternativa a las soluciones basadas en el protocolo 802.1x. Estas son soluciones complementarias. Dado que las herramientas VPN brindan protección a nivel de red, el uso de soluciones basadas en el protocolo 802.1x le permite evitar el acceso no autorizado a la red inalámbrica en una etapa más temprana. Esta solución nos permite crear una protección de múltiples capas: al autorizar a los usuarios que utilizan el protocolo 802.1x, nos aseguramos de que estamos tratando con un usuario legal de nuestra red inalámbrica, y al implementar una autorización adicional mediante VPN, nos aseguramos de que permitir a los usuarios que tienen derecho a trabajar con recursos confidenciales. Además, utilizar las funciones de firewall en el dispositivo de puerta de enlace VPN nos permitirá asignar diferentes derechos de acceso dentro de un grupo de usuarios que tienen acceso a información confidencial. También cabe señalar que el protocolo 802.1x en sí tiene una serie de vulnerabilidades a ataques de “man-in-the-middle” y “secuestro de sesión”7. Por tanto, no estaría de más repetirlo: el uso de la tecnología VPN permite crear una capa protectora externa para una red de datos inalámbrica.

    Como siempre, la cuestión de garantizar el nivel requerido de seguridad y la cuestión de la conveniencia y facilidad de uso se encuentran en diferentes escalas. Veamos cuál es el “pago” cuando se utiliza la tecnología VPN:

    1. Reducción en el rendimiento general de la red. Según la experiencia de nuestra empresa, si se utilizan núcleos criptográficos certificados en la familia de protocolos IPSec, la reducción del rendimiento será aproximadamente del 20 al 30%.
    2. Cuando se utilizan PDA y/o teléfonos IP inalámbricos, encontrar un agente VPN y un núcleo criptográfico para estas plataformas de hardware es bastante problemático. Por lo tanto, en esta etapa, sería correcto aplicar una política de seguridad a estos dispositivos de acceso que excluya su interacción con recursos confidenciales de la red corporativa.
    3. Aumentar el costo total (incluido el TCO) de la solución.

    Ahora, después de haber discutido todos los temas principales, veamos finalmente cuál es la arquitectura de una plataforma de datos segura. cómo podría verse la red de transmisión, teniendo en cuenta todo lo anterior—ver. Figura 2.

      Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
      Принять